Aktuelle Angriffe, die der **Trigona** Ransomware-Bande zugeschrieben werden, haben den Einsatz eines benutzerdefinierten Tools zur Datenexfiltration aufgedeckt. Dieses Dienstprogramm, das seit März in Angriffen beobachtet wurde, deutet auf eine Abkehr von öffentlich verfügbaren Tools zugunsten proprietärer Lösungen hin. ### Details zum benutzerdefinierten Tool Laut Forschern von **Symantec** verbindet sich das Tool mit dem Namen „uploader_client.exe“ mit einer fest kodierten Serveradresse und bietet mehrere Funktionen zur Verbesserung der Leistung und zur Umgehung der Erkennung: * Unterstützung für fünf gleichzeitige Verbindungen pro Datei für schnellere Datenexfiltration durch parallele Uploads. * Rotation von TCP-Verbindungen nach 2 GB Datenverkehr zur Umgehung der Überwachung. * Option zur selektiven Exfiltration von Dateitypen, wobei große, geringwertige Mediendateien ausgeschlossen werden. * Verwendung eines Authentifizierungsschlüssels zur Beschränkung des Zugriffs auf gestohlene Daten durch Dritte. Dieses benutzerdefinierte Tool wurde beobachtet, wie es hochwertige Dokumente, darunter Rechnungen und PDFs, von kompromittierten Netzwerklaufwerken exfiltriert. ### Trigonas Wiederaufleben **Trigona**, das erstmals im Oktober 2022 gestartet wurde, operiert als Double-Extortion-Ransomware und fordert Zahlungen in Monero-Kryptowährung. Obwohl ukrainische Cyber-Aktivisten im Oktober 2023 die Operationen von **Trigona** durch Hacking ihrer Server unterbrachen, deuten die jüngsten Erkenntnisse von **Symantec** auf ein Wiederaufleben der Aktivitäten der Gruppe hin. ### Aktivitäten nach Kompromittierung Die Beobachtungen von **Symantec** deuten darauf hin, dass die Angreifer nach der Kompromittierung das Tool HRSword der **Huorong Network Security Suite** als Kernel-Treiberdienst installieren. Darauf folgt der Einsatz von Tools zur Deaktivierung von Sicherheitsprodukten wie PCHunter, Gmer, YDark, WKTools, DumpGuard und StpProcessMonitorByovd. > „Viele dieser Tools nutzten anfällige Kernel-Treiber, um Endpunktschutzprozesse zu beenden“, bemerkt **Symantec**. Dienstprogramme wie PowerRun werden verwendet, um Anwendungen mit erhöhten Berechtigungen zu starten und so Benutzermodus-Schutzmaßnahmen zu umgehen. **AnyDesk** wird für direkten Fernzugriff verwendet, während **Mimikatz** und Nirsoft-Dienstprogramme für die Entwendung von Anmeldeinformationen und die Wiederherstellung von Passwörtern eingesetzt werden. **Symantec** hat Indikatoren für eine Kompromittierung (IoCs) bereitgestellt, um die Erkennung und Blockierung dieser Angriffe zu unterstützen.